DEVCORE警示企業AI應用莫輕忽Web防護，剖析Wi-Fi晶片與軟體供應鏈安全

今年研討會有3大焦點議題受關注：首先，警示LLM應用已成為企業Web防護的新破口；其次，展現攻擊研究延伸至多個領域的成果，包含探索臺灣Wi-Fi晶片的底層漏洞，以及剖析軟體供應鏈中套件儲存庫（Package Registry）的潛在攻擊面。

特別的是，這場攻擊技術研討會也呈現多元視角的技術碰撞。在這場活動上，我們亦看到特別邀請來自外部的專家提供獨到見解，讓研究人員可從不同維度切入思考。例如，從藍隊角度出發的Cisco Talos專家深度解析EDR偵測邏輯，以及EDR與AI的結合應用，同時也引導聽眾反思自動化防禦的邏輯極限；還有Huli技術部落格站長從前端暨資安人員角度揭示，即便是不被Chromium官方視為漏洞的瀏覽器特性（Feature），在特定攻擊情境下，仍能成為研究人員挖掘深層漏洞的切入點。

重視新興LLM攻擊手法之餘，原有Web防禦同樣需要到位，才不會讓這裡成為破口

在這次大會的首場演說中，戴夫寇爾紅隊主管鍾孟勳（Alan）示警指出：企業LLM應用已成為企業Web防護的新破口。他強調，當今企業正加速導入LLM助理，不論是對外可擔任客服機器人，對內則是知識查詢與工程輔助工具，但這些LLM應用的安全風險必須兼顧，主要有兩大層面，在關注MITRE ATLAS等新興LLM攻擊手法之餘，更不能忽視的是傳統Web攻擊的防禦。若基本防護未做足，這類新興應用極可能成為企業資料外洩或遭駭客入侵的致命破口。

鍾孟勳表示，在戴夫寇爾紅隊演練的經驗中，已多次發現這類問題，因此他也以四起實際案例，希望喚起大家對這類風險的重視。

在第一個案例中，企業雖然已實施提示注入（Prompt Injection）防護，先透過/check API對使用者輸入做內容檢查，再以/check/complete呼叫後端LLM取得回應，然而，發動攻擊的紅隊人員發現可直接對/check/complete下手的情況，完全繞過檢查機制，導致Prompt防護形同虛設。這在本質上，就是典型的Web邏輯繞過問題。

第二個案例，發生在一個具備多次戴夫寇爾紅隊演練經驗的單位，按理防線應已相對鞏固。然而，在該單位新部署聊天機器人後，紅隊深入分析發現，其前端JavaScript程式碼竟暴露了一支關鍵API——只需帶入帳號ID，即可取得對應的JWT（JSON Web Token）。後續，戴夫寇爾研究人員進一步結合對該網域帳號命名規則的掌握，批次獲取多組JWT，成功滲透並登入AI應用後臺，該情形導致各個帳號的對話清單與歷史紀錄可被讀取。

其餘兩個案例，則是突顯：「與LLM應用相連的元件都可能成為攻擊面」。簡單來說，其中一起案例是向量資料庫成攻擊突破口，戴夫寇爾紅隊透過自動化流程中暴露的憑證，直接入侵雲端儲存與向量資料庫，奪取內部開發文件與RAG知識庫；另一起案例是從Kubernetes容器為攻擊突破口，戴夫寇爾紅隊從Kubernetes容器讀取對話紀錄，發現開發者為優化程式將原始碼與高權限帳號資訊貼入對話，導致紅隊最終成功接管網域控制器與整體網域。

綜觀這些實際案例，我們可以發現，戴夫寇爾主要是提醒企業在導入LLM應用時，考量新型態攻擊手法防禦時，切記傳統Web資安風險並未消失。最重要的防禦核心重點，就是「邏輯漏洞、權限控管、資料外洩」，企業應全面盤點系統架構，並防範使用者因過度信任內部系統而上傳機敏資訊，建議定期清查對話與系統紀錄，以評估並防範潛在的資安威脅。

鎖定臺廠Wi-Fi晶片安全研究，拓展本土硬體漏洞挖掘新視野

臺灣身為全球網通設備與晶片製造重鎮，網通設備上游的晶片與協定安全亦成為不可忽視的關鍵議題。戴夫寇爾近年積極將研究觸角延伸這一領域，其針對「Wi-Fi安全」的最新研究，亦展現出守護本土關鍵元件安全的決心與實力。

戴夫寇爾資安研究員高瑋哲（Ray）指出，國際上有不少研究是針對高通、博通的Wi-Fi晶片而來，因此他們鎖定臺灣大廠聯發科的晶片來研究，並期望提升本土產品安全性。

在此演說中，主要藉由挖掘Wi-Fi協定與聯發科驅動程式漏洞（CVE-2025-20674、CVE-2025-20685、CVE-2025-20686、CVE-2025-20710、CVE-2025-20711、CVE-2025-20712）的經驗，說明Wi-Fi實作上的安全問題。

他並建議其他研究人員，可從「Wi-Fi驅動程式」與「廠商Wi-Fi客製協定」兩大面向著手，將有許多攻擊面可以繼續探索。主要原因在於，各家Wi-Fi晶片廠商都有自己的Wi-Fi實作方式，有些設備廠商也會基於Wi-Fi協議，制定延伸協議。

而從這項研究結果來看，也突顯此層面問題需要多方注意。例如，他建議，以設備廠商而言，應預設開啟KASLR、Freelist Hardening等核心防禦機制，提高遠端Heap利用難度，並持續追蹤晶片廠商PSIRT所發布的修補公告。若不確定自家設備安全性是否足夠，也可透過相關服務廠商來提供深入分析；以設備用戶而言，應定期更新設備韌體，並以網段隔離降低任意Data Frame注入的影響。　

聚焦套件儲存庫本身安全，擴展臺灣軟體供應鏈安全研究方向

軟體供應鏈安全的攻擊思維揭露，同樣是本屆研討會的一大亮點。這類研究過往多由國外研究人員發表成果，此次國內專家分享其第一手實務經驗，不僅展現了臺灣的研究能量，也能啟發國內研究人員對於軟體供應鏈安全的思考。

特別的是，戴夫寇爾資安研究員黃志仁（splitline）揭示了不同以往的攻擊維度。有別於過往新聞報導常見的開發者帳號遭接管，或是拼字仿冒（Typosquatting）等社交工程手段，他將目光投向了供應鏈源頭的另一重要環節——套件儲存庫（Package Registry）。

黃志仁指出，套件儲存庫作為供應鏈源頭的重要一環，開發者們習慣從這些「被廣泛信任的套件儲存庫來源」下載套件，但若儲存庫本身一旦出現破口，影響規模極大。

而黃志仁在這方面的探索，也證明了許多套件儲存庫確實存在不安全的實例。例如：以針對Lua程式語言LuaRocks套件儲存庫的研究為例，由於安裝時依賴manifest與檔名解析版本，進而發現存在Manifest注入與檔名解析錯誤，攻擊者可藉由反斜線跳脫或歧義版本號的處理方式，覆蓋合法套件，達成開發者端的遠端程式碼執行（RCE）。

以Objective-C程式語言的CocoaPods套件儲存庫為例，他發現了開發者註冊時僅以8位數隨機碼驗證且永不過期的狀況，若以生日攻擊（Birthday Attack）結合大量註冊，可將原先需約2.5年才能暴力破解的情境，縮短至約42分鐘即能劫持任意開發者帳號，驗證機制明顯不足。

以.NET程式語言的NuGet套件儲存庫為例，檢視其上傳流程，區分為上傳時驗證與背景發布等兩個階段，它們的路徑判斷卻不一致，攻擊者可構造含反斜線路徑的ZIP檔，使驗證放行卻在發布階段將惡意內容當合法套件處理。

這些問題在通報廠商後，已經完成修補。換言之，若沒有研究人員發現先通報，就可能被駭客發現利用的空間。他也提到，上述成果僅是研究中的冰山一角，鼓勵大家能持續針對此一領域深入挖掘。